php.php_.php7_.gif - Malware WordPressu (Růžový obrázek X v knihovně médií)

Nedávno mi byla na několika stránkách oznámena zvláštní věc WordPress.

Problémová data php.php_.php7_.gif

Tajemný vzhled a .gif obrázky s černým „X“ na růžovém pozadí. Ve všech případech byl soubor pojmenován „php.php_.php7_.gif", Mající všude stejné vlastnosti. Zajímavé je, že tento soubor nebyl nahrán konkrétním uživatelem / autorem. "Nahráno uživatelem: (žádný autor)".

File Jméno: php.php_.php7_.gif
File Typ: image / gif
Nahráno dne: Července 11, 2019
File velikost:
Rozměry: 300 podle pixelů 300
Titul: php.php_.php7_
Nahráno uživatelem: (žádný autor)

By default, tento soubor .GIF, který vypadá obsahuje skript, je načten na serveru v aktuální složku nahrávek z chronologie. V uvedených případech: / Root / wp-content / uploads / 2019 / 07 /.
Další zajímavostí je, že základní soubor php.php_.php7_.gif, který byl nahrán na server, nemůže otevřít editor fotografií. Náhled, Photoshop nebo jiné. Místo toho thumbnail(ikony) vytvořené automaticky WordPressem v několika dimenzích, jsou dokonale funkční .gif a lze je otevřít. Černé „X“ na růžovém pozadí.

Co je "php.php_.php7_.gif" a jak se těchto podezřelých souborů zbavit?

Smazat tyto soubory s největší pravděpodobností malware / viry, není to řešení, pokud se omezíme jen na to. Jistě php.php_.php7_.gif není legitimní WordPress soubor nebo vytvořený pluginem.
Na webovém serveru lze snadno identifikovat, pokud máme Linux Malware Detect  nainstalován. Antivirový / anti-malware proces „maldet"Okamžitě detekován jako virus typu:"{YARA} php_in_image"

FILE HIT LIST:
{YARA}php_in_image : /web/blog/public_html/wp-content/uploads/2019/07/php.php_.php7_.gif

Velmi se doporučuje mít jeden na webovém serveru a aktualizovat jej, Antivirus je navíc nastaven tak, aby trvale sledoval změny webových souborů.
Verze WordPress a všechny moduly (pluginy), Pokud jsem viděl, všechny WordPress stránky infikované php.php_.php7_.gif mít jako společný prvek plugin "WP Review". Plugin, který nedávno obdržel aktualizaci, v jehož seznamu změn najdeme: Opraven problém se zranitelností.

Pro jeden ze serverů ovlivněných tímto malwarem v error.log našel následující řádek:

2019/07/11 13:08:10 [error] 25084#25084: *44118905 FastCGI sent in stderr: "PHP message: PHP Warning: array_filter() expects parameter 1 to be array, null given in /home/www/website.tld/public/wp-content/plugins/wp-review/includes/ajax.php on line 36" while reading response header from upstream, client: IP.IP.IP.IP, server: website.tld, request: "GET /wp-admin/admin-ajax.php?action=wpr-upload-comment-image HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "website.tld", referrer: "website.tld"

To mě napadá, že nahrání falešných obrázků bylo provedeno prostřednictvím tohoto plug-inu. Chyba nejprve vzniká z chyby fastcgi PORT.
Důležitá poznámka je, že tento malware / WordPress ve skutečnosti nebere v úvahu verzi PHP na serveru. Našel jsem obojí PHP 5.6.40PHP 7.1.30.

Tento článek bude aktualizován, jak se dozvíte více o php.php_.php7_.gif škodlivém souboru Media →  Knihovna.

Vášnivý k technologii, rád testuji a píšu výukové programy o operačních systémech macOS, Linux, Windows, o konfiguraci webového serveru WordPress, WooCommerce a LEMP (Linux, NGINX, MySQL a PHP). Píšu dál StealthSettings.com od roku 2006 ao několik let později jsem začal psát na iHowTo.Tips výukové programy a novinky o zařízeních v ekosystému Apple: iPhoneiPad Apple Hodinky, HomePod, iMac, MacBook, AirPods a příslušenství.

Zanechat komentář